TL;DR — Ein Cookie-Audit besteht aus dem Identifizieren, Klassifizieren und Dokumentieren aller aktiven Cookies auf einer Website. Er ist vor der Einrichtung oder Aktualisierung einer CMP unerlässlich und muss regelmäßig wiederholt werden. Die vollständige Methode umfasst: einen technischen Multi-Seiten-Scan, die Klassifizierung jedes Cookies nach DSGVO-Kategorie, die Überprüfung des Verhaltens vor der Einwilligung und die Erstellung eines Berichts.
Die DSGVO-Cookie-Konformität beginnt mit einer einzigen Frage: Welche Cookies setzt meine Website tatsächlich? Ohne eine präzise Antwort ist es unmöglich, ein Banner korrekt zu konfigurieren, eine genaue Cookie-Richtlinie zu verfassen oder die Compliance bei einer Prüfung nachzuweisen. Der Cookie-Audit ist der obligatorische Ausgangspunkt.
Was ist ein Cookie-Audit?
Ein Cookie-Audit ist die umfassende Bestandsaufnahme aller von einer Website im Browser des Besuchers gesetzten Cookies. Er umfasst First-Party-Cookies (vom eigenen Domain des Sites ausgestellt) und Third-Party-Cookies (von integrierten Drittanbieterdiensten wie Google Analytics, Meta Pixel, Chat-Tools ausgestellt).
Wann sollte ein Cookie-Audit durchgeführt werden?
Situationen, die einen obligatorischen Audit auslösen: vor der Einrichtung oder dem Austausch einer CMP, nach der Installation eines neuen Plugins, einer App oder eines Drittanbieter-Skripts, bei einem Theme- oder Plattformwechsel, während einer Website-Überarbeitung und regelmäßig (empfohlen: alle 3 bis 6 Monate für aktive Websites).
Wie führt man einen Cookie-Audit durch: die vollständige Methode
Schritt 1 — Saubere Testumgebung vorbereiten
Der Audit muss in einer Cookie-freien Umgebung durchgeführt werden: Verwenden Sie eine private Browser-Sitzung oder ein dediziertes Browser-Profil ohne vorherige Cookies. Dies simuliert die Erfahrung eines erstmaligen Besuchers.
Schritt 2 — Schlüsselseiten scannen
Nicht alle Seiten setzen dieselben Cookies. Scannen Sie systematisch: die Startseite, 2 bis 3 Inhalts- oder Kategorieseiten, eine Produkt- oder Serviceseite, die Kontakt- oder Formularseite und die Checkout- oder Warenkorbseite. Verwenden Sie den FlowConsent-Scanner (/de/scan) für automatisierte Analyse oder Chrome DevTools (Application > Cookies) für manuelle Analyse.
Schritt 3 — Jeden Cookie dokumentieren
Für jeden identifizierten Cookie festhalten: Cookie-Name, ausstellende Domain, Aufbewahrungsdauer, Zweck (funktional, analytisch, Werbung, Personalisierung) und den zugehörigen Dienst.
Schritt 4 — Gemäß DSGVO klassifizieren
Kategorien: Funktional/essenziell — strikt notwendig für den Betrieb: von der Einwilligungspflicht befreit. Analytisch — Zielgruppenmessung (GA4, Matomo, Hotjar): Einwilligung erforderlich. Werbung/Marketing — Targeting und Retargeting: Einwilligung erforderlich. Personalisierung — Inhaltsanpassung: Einwilligung erforderlich.
Schritt 5 — Verhalten vor Einwilligung überprüfen
Der kritischste Schritt: Die Website im privaten Browser öffnen und in DevTools (Netzwerk-Tab) beobachten, ob nicht-funktionale Cookies gesetzt werden, bevor irgendeine Interaktion mit dem Banner stattfindet. Falls ja, ist das Skript-Blocking nicht wirksam.
Schritt 6 — Prüfbericht erstellen
Der Bericht muss enthalten: das Datum des Audits, die Liste der gescannten Seiten, die Cookie-Tabelle (Name, Domain, Dauer, Kategorie, Dienst, Einwilligung erforderlich), identifizierte Nicht-Konformitäten und empfohlene Korrekturmaßnahmen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Häufige Fehler bei Cookie-Audits
Fehler 1: Nur die Startseite auditieren. Spezifische Cookies erscheinen nur auf bestimmten Seiten. Ein auf die Startseite beschränkter Audit übersieht einen großen Teil der Tracker.
Fehler 2: Mit bereits gecookter Sitzung auditieren. Immer den privaten Browser-Modus verwenden.
Fehler 3: First-Party- und Third-Party-Cookies verwechseln. Ein First-Party-Cookie kann von einem Drittanbieter-Skript gesetzt werden.
Fehler 4: Nach Updates nicht neu auditieren. Ein Plugin-Update kann neue Cookies ohne Vorankündigung hinzufügen.
Checkliste für den Cookie-Audit
- Saubere Umgebung vorbereiten: privates Surfen oder dediziertes Profil ohne Cookies.
- Zu auditierende Seiten auflisten: Startseite, Inhalt, Produkt, Formular, Checkout.
- Jede Seite mit einem dedizierten Tool oder DevTools scannen.
- Jeden Cookie dokumentieren: Name, Domain, Dauer, Kategorie, Dienst.
- Gemäß DSGVO klassifizieren: funktional (befreit) oder einwilligungspflichtig.
- In DevTools (Netzwerk-Tab) prüfen, dass kein nicht-essenzieller Cookie vor der Einwilligung gesetzt wird.
- Verhalten nach Ablehnung testen: nicht-essenzielle Cookies dürfen nicht wieder erscheinen.
- Mit der bestehenden Cookie-Richtlinie vergleichen: sind alle aktiven Cookies aufgelistet?
- Nicht-Konformitäten identifizieren und Prüfbericht erstellen.
- Nächsten Audit einplanen (3 bis 6 Monate oder nach jeder Website-Änderung).
Ein Cookie-Audit dauert 30 Minuten bis einige Stunden, je nach Größe der Website. Es ist die nützlichste Investition für eine solide DSGVO-Konformität. Starten Sie den Audit Ihrer Website unter /de/scan.